Strategia di Audit
(ex art. 62, par. 1, lett. c, Regolamento (CE) n. 1083/2006)
Revisione annualità 2011
Strategia di Audit
1
POR FESR 2007/2013 – POR FSE 2007/2013
1. INTRODUZIONE .......................................................................................................................... 6
1.1 Autorità di Audit responsabile dell’elaborazione della strategia di audit e gli altri
organismi che vi hanno contribuito .............................................................................................. 6
1.1.1 Procedura prevista per il monitoraggio della strategia di audit .................................. 8
1.1.2 Procedura prevista per la revisione e aggiornamento della strategia di audit .......... 11
1.2 Obiettivi globali della strategia di audit ............................................................................... 12
1.3 Funzioni e responsabilità dell’Autorità di Audit e degli altri organismi incaricati di
svolgere attività di audit sotto la responsabilità di quest’ultima. ............................................ 12
1.4 Indipendenza dell’Autorità di Audit .................................................................................... 14
2. BASE GIURIDICA E CAMPO DI APPLICAZIONE ............................................................. 14
2.1 Quadro normativo nazionale che incide sull’Autorità di Audit e sulle funzioni .............. 14
2.2 Periodo coperto dalla strategia ............................................................................................. 15
2.3 Fondi, programmi e settori coperti dalla strategia ............................................................. 15
3. METODOLOGIA ........................................................................................................................ 16
3.1. Metodo di audit da seguire tenendo conto degli standard di controllo accettati a livello
internazionale (compresi, ma non solo, INTOSAI, IFAC e IIA), dei manuali di audit e di
altri documenti specifici............................................................................................................... 16
4. STRATEGIA E PRIORITÀ DELL’AUDIT ............................................................................. 19
4.1 Soglie di rilevanza .................................................................................................................. 19
4.2 Tipi di audit da effettuare ..................................................................................................... 20
4.3 Audit dei sistemi ..................................................................................................................... 20
4.3.1 Organismo responsabile dell’attività di audit .............................................................. 20
4.3.2 Organismi da sottoporre ad audit ................................................................................. 21
Strategia di Audit
2
POR FESR 2007/2013 – POR FSE 2007/2013
4.3.3 Aspetti orizzontali che devono essere valutati negli audit dei sistemi ........................ 23
4.4 Audit delle operazioni ............................................................................................................ 24
4.4.1 Organismo responsabile dell'attività di audit .............................................................. 24
4.4.2 Criteri per determinare il livello di garanzia ottenuto dagli audit dei sistemi e i
documenti utilizzati per applicare la metodologia di campionamento di cui all'articolo 17
del REG. (CE) n. 1828/2006 .................................................................................................... 24
4.4.3 Procedura per determinare le tappe da seguire in caso di rilevamento di errori
materiali. ................................................................................................................................... 33
4.5 Priorità e obiettivi degli audit stabiliti per l’intero periodo di programmazione ............ 34
4.6 Connessione tra i risultati della valutazione dei rischi e l’attività di audit prevista ........ 35
4.7 Pianificazione annuale ........................................................................................................... 35
5 VALUTAZIONE DEI RISCHI.................................................................................................... 36
5.1 Procedure seguite nella valutazione del rischio. .................................................................. 36
5.2 Autorità di Gestione, Autorità di Certificazione e organismi intermedi coperti ............. 37
5.3 Fattori di rischio considerati e metodo generale di valutazione del rischio. .................... 39
5.4 Risultati dell’analisi dei rischi e ordine di priorità tra i soggetti, i processi, i controlli e i
programmi principali da sottoporre ad audit ........................................................................... 41
6 RICORSO AL LAVORO DI TERZI .......................................................................................... 43
7 RISORSE ....................................................................................................................................... 43
7.1 Risorse umane e finanziarie previste .................................................................................... 43
8 RELAZIONI .................................................................................................................................. 45
8.1 Procedure interne per le relazioni (rapporto di audit provvisorio e definitivo delle
operazioni, i rapporti di controllo di sistema, ecc.) strumenti di reporting e procedura di
follow-up. ...................................................................................................................................... 45
Strategia di Audit
3
POR FESR 2007/2013 – POR FSE 2007/2013
8.1.1 Stumenti di monitoraggio ............................................................................................... 51
8.1.2 Procedura per la redazione del RAC e del relativo parere ......................................... 53
8.1.3 Procedure per la redazione delle dichiarazioni di chiusura........................................ 53
Strategia di Audit
4
POR FESR 2007/2013 – POR FSE 2007/2013
ACRONIMI
AdG= Autorità di Gestione
AdC= Autorità di Certificazione
AdA= Autorità di Audit
ROO= Responsabili di obiettivo operativo
SIGECO= Sistema di Gestione e Controllo
AT= Assistenza Tecnica
DD= Decreto Dirigenziale
DPGR= Decreto del Presidente della Giunta Regionale
DGR= Delibera di Giunta Regionale
PO= Programma Operativo
Cat.= Categoria
UE= Unione Europea
IGRUE= Ragioneria Generale dello Stato
MEF= Ministero Economia e Finanze
MIUR= Ministero Istruzione Università e Ricerca
RAC= Rapporto Annuale di Controllo
Strategia di Audit
5
POR FESR 2007/2013 – POR FSE 2007/2013
1. INTRODUZIONE
1.1 Autorità di Audit responsabile dell’elaborazione della strategia di audit e gli
altri organismi che vi hanno contribuito
Conformemente a quanto previsto dall’art. 59 del Reg. 1083/06, lo svolgimento dell’attività di audit
nell’ambito di ciascun programma operativo approvato, è assegnato ad un’autorità pubblica o ad un
organismo pubblico, nazionale, regionale o locale, funzionalmente indipendente sia dall’Autorità di
Gestione che dall’Autorità di Certificazione.
Per il PO Campania FESR 2007/2013, approvato con decisione della Commissione n. C(2007) 4265
del 11/09/2007, e per il PO Campania FSE 2007/2013, approvato con decisione n. C(2007) 5483
del 07/11/2007, la funzione di Autorità di Audit ex art. 62 del Reg. (CE) 1083/06- organismo avente
il compito di pianificare, gestire e coordinare le attività di audit per tutto il periodo di
programmazione, al fine di garantire l’efficacia dei singoli Sistemi di Gestione e Controllo e la
correttezza delle operazioni- è attribuita al Dirigente pro-tempore dell’AGC 22 - Ufficio di Piano,
Dott.ssa Maria Grazia Falciatore.
L’AdA è funzionalmente indipendente sia dall’AdG che dall’AdC ed adempie a tutte le funzioni,
previste dal Reg. (CE) del Consiglio n.1083/2006, secondo le modalità attuative definite dal Reg.
(CE) della Commissione n.1828/2006.
L’Autorità di Audit, conformemente a quanto previsto dall’art. 62 del Reg. (CE) 1083/06, ha
predisposto e presentato alla Commissione Europea, Direzione Regionale – Politica Regionale, una
Strategia di Audit approvata dalla stessa CE con nota prot. 2355 del 13/03/09 e successivamente
aggiornata con D.D. n 20 del 24/06/10,al fine di recepire:
i suggerimenti di cui alla nota di approvazione (cfr. nota 2355 del 13/03/09);
gli orientamenti forniti con nota 45090 del 01/05/10 dal Ministero dell’Economia e delle
Finanze in ordine alla metodologia di campionamento per le piccole popolazioni di progetti
relativi alla programmazione 20007/2013;
Strategia di Audit
6
POR FESR 2007/2013 – POR FSE 2007/2013
i manuali di attuazione del PO FSE e FESR 2007/2013.
Il presente documento rappresenta l’ulteriore aggiornamento, effettuato a norma dell’art. 18 del
Reg. (CE) 1828/06, che recepisce i processi interni avviati dall’AdA a partire da ottobre 2010, a
seguito delle missioni di audit della Commissione Europea relative all’annualità 2010.
I riferimenti normativi di supporto all’aggiornamento annuale della Strategia, sono di seguito
indicati:
• Reg. (CE) 1083/2006, Reg. (CE) 1828/2006, Reg. (CE) 1080/2006 e Reg. (CE) 1081/2006 e
ss.mm.ii.;
• QSN Italia 2007-2013;
• Guida orientativa per la strategia di audit predisposta dalla Commissione Europea “Nota
orientativa sulla strategia di audit (ai sensi dell’articolo 62 del regolamento (CE) n.
1083/2006 del Consiglio)” - COCOF 07/0038/01-IT;
• Guida al campionamento statistico predisposta dalla Commissione Europea “Guidance note
on Sampling Methods for Audit Authorities” – final version, COCOF 08/0021/01-EN;
• Esempio di campionamento non statistico “Formal approach to non-statistical sampling”, 0704-2008, DG REGIO J1/CC/ D(2008) 970042, EN;
• Guida per la valutazione dei sistemi (systems assessment) predisposta dalla Commissione
Europea, “Guidance on a common methodology for the assessment of management and
control systems in the Member States (2007-2013 programming period)” final version 23-42008, COCOF 08/0019/00-EN;
• Guida orientativa per la valutazione ex art. 71 (compliance assessment) predisposta dalla
Commissione Europea “Nota orientativa sull'attività di valutazione della conformità (a norma
dell'articolo 71 del regolamento (CE) N. 1083/2006)”;
• Guida orientativa sulla sintesi annuale (annual summary) predisposta dalla Commissione
Europea “Nota orientativa relativa alla sintesi annuale delle azioni strutturali e del Fondo
europeo per la pesca (a norma dell'articolo 53ter, paragrafo 3 del Regolamento Finanziario
modificato1)”- COCOF 07/0063/02-IT;
Strategia di Audit
7
POR FESR 2007/2013 – POR FSE 2007/2013
• “Linee guida sui sistemi di gestione e controllo per la programmazione 2007–2013”
predisposte e diffuse, in data 19 aprile 2007, a tutte le Autorità competenti in Italia dei
programmi comunitari, dal Ministero Economia e Finanze - Dipartimento della Ragioneria
Generale dello Stato - Ispettorato Generale per i Rapporti Finanziari con l’Unione Europea
(di seguito IGRUE), in qualità di Organismo di Coordinamento Nazionale delle Autorità di
Audit, previsto dall’art. 73, par. 1 del Reg. (CE) n. 1083/2006 e come peraltro indicato nel
QSN Italia 2007-2013, al capitolo VI.2.4, par. “Controllo”;
• Standard internazionali di controllo (INTOSAI, ISA, IIA,);
• Nota orientativa riguardante le Best practices in merito alle Strategie di audit per il
2007/2013, diramate l’IGRUE con nota n. 134347 del 17/11/2008;
• Altre indicazioni formulate sempre dall’IGRUE, a mezzo di circolari o a seguito di incontri;
• “Nota di informazione sugli indicatori di frode per il FESR, FSE e SC” COCOF09/0003/00
versione inglese.
Inoltre, si è tenuto conto dei seguenti elementi:
• SIGECO del POR Campania FSE 2007/2013 e del POR Campania FESR 2007/2013, con la
relativa documentazione di riferimento (programma operativo, descrizione dei SIGECO, ex
art. 71, par. 1, Reg. (CE) n. 1083/2006);
• Valutazione degli esiti inerenti gli audit di sistema e audit delle operazioni, relativamente alle
prime annualità di riferimento della nuova programmazione 2007/2013;
• Valutazione degli esiti delle missioni di audit della Commissione Europea sia per il PO FSE
2007/2013 (ottobre 2010 – ottobre 2011), sia per il PO FESR 2007/2013 (ottobre 2010).
• Risorse professionali coinvolte nell’attività di audit.
1.1.1
Procedura prevista per il monitoraggio della strategia di audit
La procedura di monitoraggio implementata dall’AdA, per l’attuazione, il riesame e
l’aggiornamento della strategia, è così caratterizzata:
Strategia di Audit
8
POR FESR 2007/2013 – POR FSE 2007/2013
1. Predisposizione del Piano di lavoro annuale, riportata anche sotto forma di GANTT, avente
ad oggetto:
1.a) i criteri e la metodologia da seguire per l’audit delle operazioni, caratterizzato da
diverse fasi;
1.b)
i criteri e la metodologia da seguire e per l’audit di sistema, caratterizzato da
diverse fasi;
2. Monitoraggio degli obiettivi di periodo: l’AdA attraverso il rispetto della tempistica indicata
nel GAANTT annuale, monitora i risultati intermedi e finali riportandoli nel Sistema
informativo (cfr. par. 8.1.1) dedicato alimentato ad ogni singolo stato di avanzamento
consentendo di individuare in tempi ristretti la presenza di eventuali criticità/anomalie al
fine di porre in essere le necessarie modifiche.
Si riporta il dettaglio delle attività di cui al punto 1:
1.a)
i criteri e la metodologia da seguire per l’audit delle operazioni, caratterizzato da
diverse fasi:
Fase 1 – Pianificazione
Individuazione dei gruppi di lavoro.
Acquisizione e analisi del file di spesa certificata trasmesso dall’AdC.
Analisi del rischio.
Individuazione del metodo di campionamento da applicare.
Estrazione campionaria dei progetti da sottoporre a audit.
Comunicazione dei progetti estratti a tutti i soggetti interessati (AdG, ROO, AdC,
OI).
Calendarizzazione degli audit.
Invio lettere di preannuncio audit a tutti i soggetti interessati.
Strategia di Audit
9
POR FESR 2007/2013 – POR FSE 2007/2013
Fase 2 – Esecuzione delle attività di audit delle operazioni
Esecuzione delle verifiche amministrative, con stesura del verbale di verifica
documentale.
Analisi della documentazione acquisita e predisposizione della prima versione della
check list di audit delle operazioni.
Esecuzione delle verifiche in loco, con stesura del verbale di verifica in loco.
Analisi della documentazione acquisita e predisposizione della versione check list di
audit delle operazioni.
Controllo di qualità sui processi messi in atto dall’AdA.
Compilazione della check list di controllo qualità.
Stesura dei rapporti di controllo provvisori.
Fase 3 – Contraddittorio
Trasmissione del Rapporto Provvisorio di Audit delle Operazioni.
Riscontro al Rapporto Provvisorio di Audit delle Operazioni.
Fase 4 – Chiusura audit delle operazioni
Predisposizione e invio dei Rapporti definitivi di audit delle operazioni,
determinazione del tasso di errore ed eventuale proiezione.
1.b)
i criteri e la metodologia da seguire e per l’audit di sistema, caratterizzato da
diverse fasi:
Fase 1 – Pianificazione
Individuazione dei gruppi di lavoro
Individuazione degli organismi da sottoporre a controllo (AdG – AdC – ROO – OI)
Individuazione dei progetti da sottoporre a test di conformità
Predisposizione e invio lettere di preannuncio audit
Fase 2 – Esecuzione delle attività di audit di sistema
Fase desk, caratterizzata dall’analisi della documentazione fornita e acquisita da tutti
gli organismi coinvolti nel processo di programmazione, gestione e controllo dei
singoli PO, nelle singole annualità di riferimento, con la predisposizione della prima
versione della check list di audit di sistema.
Strategia di Audit
10
POR FESR 2007/2013 – POR FSE 2007/2013
Fase in loco, caratterizzata dalle interviste ai singoli soggetti da auditare (es. AdG,
AdC, ROO, OI), con stesura dei verbali di audit di sistema, al fine di completare e
approfondire quanto emerso nella prima versione della check list.
Controllo di qualità sui processi messi in atto dall’AdA.
Compilazione della check list di controllo qualità.
Redazione del Rapporto Provvisorio di Audit di Sistema.
Fase 3 – Contraddittorio
Trasmissione del Rapporto Provvisorio di Audit di Sistema
Riscontro al Rapporto Provvisorio di Audit di Sistema
Fase 4 – Chiusura audit di sistema
o Predisposizione e invio del Rapporto di Audit di Sistema, con evidenza del relativo
parere.
Predisposizione e invio del Rapporto Annuale di Controllo e parere annuale.
1.1.2 Procedura prevista per la revisione e aggiornamento della strategia di audit
I presupposti fondamentali per la revisione della Strategia ai sensi dell’art. 18 del Reg. (CE)
1828/2006 sono:
• Modifiche al SIGECO di ciascun programma;
• Orientamenti della Commissione Europea;
• Risultanze delle attività di audit di cui all’art. 62 del Reg. (CE) 1083/2006;
• Risultanze dei controlli previsti dall’art. 60 e 61 del Reg. (CE) 1083/2006, e/o provenienti da
eventuali controlli esterni;
• Eventuali innovazioni normative, interventi interpretativi o raccomandazioni pubblicate dalle
Autorità Comunitarie e/o Nazionali.
Strategia di Audit
11
POR FESR 2007/2013 – POR FSE 2007/2013
1.2 Obiettivi globali della strategia di audit
La Strategia di Audit, conformemente a quanto previsto dal disposto normativo dell’art. 62 par.1/c
Reg. (CE) n.1083/2006, e degli artt. 16 e 17 Reg. (CE) 1828/2006, ha quali obiettivi:
• accertare l’efficace funzionamento dei SIGECO dei singoli PO;
• verificare il conseguimento degli obiettivi progettuali, relativamente alle singole operazioni
oggetto di cofinanziamento comunitario, e la relativa congruità rispetto alla spesa dichiarata;
• verificare la veridicità delle spese dichiarate attraverso la definizione di un campione
significativo di operazioni da sottoporre ad audit;
Pertanto, la finalità dell’attività di audit consiste, nel monitorare il raggiungimento degli obiettivi
comunitari di efficienza, efficacia ed economicità dei singoli PO, attraverso l’individuazione
dell’ammontare di spesa irregolare (non ammissibile e/o non eleggibile).
1.3 Funzioni e responsabilità dell’Autorità di Audit e degli altri organismi
incaricati di svolgere attività di audit sotto la responsabilità di quest’ultima.
L’AdA - designata ex art. 59, par. 1, lett. c), del Reg. (CE) n. 1083/2006 - è il Dirigente protempore Dott.ssa Maria Grazia Falciatore, dell’AGC 22 (Ufficio di Piano) nominata con DGR n°
458 del 08/10/2011.
L’AdA adempie a tutte le funzioni di cui al Reg. (CE) n.1083/2006, secondo le modalità attuative
definite dal Reg. (CE) n.1828/2006.
Le risorse di cui si avvale l’AdA per l’espletamento delle singole attività di cui all’art. 62 del
Reg.(CE) n. 1083/2006 sono specificate al successivo paragrafo 7.1.
L’AdA, inoltre, è supportata dal servizio di Assistenza Tecnica specialistica della Reconta Ernst &
Young S.p.A., aggiudicataria del bando di gara ad evidenza pubblica, per l’affidamento mediante
procedura aperta, indetta ai sensi del D.lgs. n.163/06, dei “Servizi di Assistenza Tecnica
Specialistica per le attività connesse alle funzioni dell’Autorità di Audit, di cui all’art. 62 del
Strategia di Audit
12
POR FESR 2007/2013 – POR FSE 2007/2013
Regolamento del Consiglio (CE) n. 1083/2006, nell’ambito del P.O. FESR e del P.O. FSE
2007/2013 della Regione Campania”.
Le principali funzioni svolte dall’AdA, di cui all’art.62 del Reg. /CE) n.1083/06, sono di seguito
sintetizzate:
• garantire che le attività di audit siano svolte per accertare l'efficace funzionamento del
sistema dei SIGECO dei programmi operativi;
• garantire che le attività di audit siano svolte su un campione di operazioni adeguato per la
verifica delle spese dichiarate;
• presentare alla Commissione, una Strategia di Audit riguardante gli organismi preposti alle
attività di audit, la metodologia utilizzata, il metodo di campionamento delle operazioni e la
pianificazione indicativa delle attività di audit al fine di garantire che i principali organismi
siano soggetti ad audit e che tali attività siano ripartite uniformemente sull'intero periodo di
programmazione;
• provvedere, entro il 31 dicembre di ogni anno, dal 2008 al 2015 ai seguenti adempimenti:
i. presentare alla Commissione un rapporto annuale di controllo che evidenzi le
risultanze delle attività di audit effettuate nel corso del periodo precedente (12 mesi)
che termina il 30 giugno dell'anno in questione conformemente alla strategia di audit
del Programma Operativo e le carenze riscontrate nei sistemi di gestione e di
controllo del Programma;
ii. formulare un parere, in base ai controlli ed alle attività di audit effettuati sotto la
propria responsabilità, in merito all'efficace funzionamento del sistema di gestione e
di controllo, indicando se questo fornisce ragionevoli garanzie circa la correttezza
delle dichiarazioni di spesa presentate alla Commissione e circa la legittimità e
regolarità delle transazioni soggiacenti;
iii. presentare, nei casi previsti dall'articolo 88 del Regolamento (CE) del Consiglio n.
1083/2006, una dichiarazione di chiusura parziale in cui si attesti la legittimità e la
regolarità della spesa in questione;
Strategia di Audit
13
POR FESR 2007/2013 – POR FSE 2007/2013
iv. presentare alla Commissione, entro il 31 marzo 2017, una dichiarazione di chiusura
che attesti la validità della domanda di pagamento del saldo finale e la legittimità e la
regolarità delle transazioni soggiacenti coperte dalla dichiarazione finale delle spese,
accompagnata da un rapporto di controllo finale.
L’Ada garantisce la corretta esecuzione delle attività di audit attraverso il controllo di qualità, come
descritto nel successivo paragrafo 8.1.
1.4 Indipendenza dell’Autorità di Audit
L’AdA, ai sensi dell’art.4 della Legge 11/91, è funzionalmente indipendente rispetto alle AdG dei
singoli PO e all’AdC, ed è posta alle dirette dipendenze del Presidente della Giunta Regionale della
Campania.
2. BASE GIURIDICA E CAMPO DI APPLICAZIONE
2.1 Quadro normativo nazionale che incide sull’Autorità di Audit e sulle
funzioni
Il quadro normativo nazionale in materia di “audit” prevede diverse tipologie di controllo e diversi
organismi di controllo. Il contesto di riferimento è determinato principalmente dalle leggi nazionali
relative ai controlli amministrativi/di legittimità e contabili/finanziari quali:
• Legge n.875 del 21 dicembre 1978 - Legge quadro in materia di formazione professionale;
• Legge n. 241 del 7 agosto 1990 e ss.mm.ii. (Nuove norme in materia di procedimento
amministrativo e di diritto di accesso ai documenti amministrativi);
• D. Lgs. 18 agosto 2000, n. 267 – Testo Unico delle leggi sull’ordinamento degli Enti locali;
• D.P.R. n. 445 del 28 dicembre 2000 “Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa”;
Strategia di Audit
14
POR FESR 2007/2013 – POR FSE 2007/2013
• D. Lgs. del 10 settembre 2003 n. 276 Attuazione delle deleghe in materia di occupazione e
mercato del lavoro;
• D. Lgs. del 12 aprile 2006 n. 163 e s.m.i. (Codice degli appalti);
• Delibera CIPE n. 166 del 21/12/07 Attuazione del Quadro Strategico Nazionale (QSN) 20072013 Programmazione del Fondo per le aree sottoutilizzate
• D.P.R. n.196 del 03 ottobre 2008 di esecuzione del reg. (CE) 1083/06 recante disposizioni
generali per l’Ammissibilità della spesa.
• D.P.R. n. 207 del 5/10/10 “Attuazione del codice dei contratti pubblici”
• Legge n. 136 del 13 agosto 2010 e ss.mm.ii. - Normativa in vigore sulla tracciabilità dei
flussi finanziari in applicazione del “Piano finanziario contro le mafie, nonché delega al
Governo in materia di normativa antimafia”.
• Legge n. 217 del 17/12/10 “Misure urgenti in materia di sicurezza” (capo III – Disposizioni
sulla tracciabilità dei flussi finanziari).
2.2 Periodo coperto dalla strategia
La Strategia si riferisce alle attività di audit di cui all’art. 62 del Regolamento (CE) n. 1083/2006
per l’intero periodo di Programmazione 2007- 2013, ovvero il periodo di tempo compreso tra
l’approvazione dei Programmi Operativi in oggetto ed il 31/03/2017 (termine previsto dalla
normativa comunitaria per la trasmissione alla Commissione della “Dichiarazione di chiusura” ex
Reg. CE n. 1083/2006).
2.3 Fondi, programmi e settori coperti dalla strategia
La Strategia di Audit è unica per il PO FESR. 2007-2013 ed il PO FSE 2007-2013 con la seguente
articolazione:
Strategia di Audit
15
POR FESR 2007/2013 – POR FSE 2007/2013
P.O FESR
P.O FSE
ASSI
ASSI
I - Sostenibilità ambientale ed attrattività culturale e turistica
I –
Adattabilità
II - Competitività del sistema produttivo regionale
II –
Occupazione
III - Energia
III –
Integrazione sociale
IV - Accessibilità e trasporti
IV -
Capitale Umano
V - Società dell' informazione
V–
VI - Sviluppo urbano e qualità della vita
VI – Assistenza tecnica
VII - Assistenza tecnica e cooperazione
VII - Capacità Istituzionale
Transnaz. e interreg.
Per entrambi i PO, ciascun Asse è articolato in Obiettivi Operativi. L’attuazione operativa dei
Programmi viene affidata all’AdG, supportata dai Responsabili di Obiettivo Operativo (Dirigenti –
pro tempore di II Fascia) designati con atto del Presidente della Giunta Regionale (DPGR).
3. METODOLOGIA
3.1. Metodo di audit da seguire tenendo conto degli standard di controllo
accettati a livello internazionale (compresi, ma non solo, INTOSAI, IFAC e IIA),
dei manuali di audit e di altri documenti specifici
La metodologia di audit per la programmazione 2007-2013, segue gli standard di controllo accettati
a livello internazionale.
Strategia di Audit
16
POR FESR 2007/2013 – POR FSE 2007/2013
Valutazione dei rischi
Predisposizione delle
dichiarazioni/rapporti/
pareri periodici finali
Elaborazione
strategia di Audit
Esecuzione degli
audit dei sistemi
Follow-up
Metodologia
di Audit
Campionamento
Azioni correttive
Esecuzione degli
audit delle operazioni
Monitoraggio
Analisi e
comunicazione dei
risultati
Esecuzione degli
audit tematici
Tale modello, sintetizza la metodologia delle Attività di Audit, esplicitata nel dettaglio nel
“Manuale delle procedure dell’AdA”, volto a descrivere le procedure per le diverse fasi di lavoro e
ad individuare gli strumenti e la reportistica di riferimento.
L’attività di audit, è caratterizzata da:
• Valutazione preliminare dei rischi e individuazione degli obiettivi di audit. I modelli di
controllo sono conformi all’efficacia e all’adeguatezza dei processi di gestione dei rischi
rilevati, da contenere entro livelli di accettabilità (Standard 2000 IIA).
• Elaborazione Strategia di Audit, pianificazione ed obiettivi di svolgimento dell’attività di
controllo (Standard 2010, 2200 IIA - ISA 200, ISA 300 – INTOSAI Auditing Standard).
• Preannuncio dell’avvio dell’attività di audit di sistema ai soggetti da sottoporre a controllo
(Standard 2020 IIA).
Strategia di Audit
17
POR FESR 2007/2013 – POR FSE 2007/2013
• Esecuzione dell’attività di audit di sistema, finalizzato all’accertamento dell’efficacia del
SI.GE.CO. relativamente ad ogni singolo PO (Standard 2100, 2201, 2240, 2300, 2310, 2320,
2330, 2340 IIA – ISA 250, ISA 315, ISA 580 - INTOSAI Auditing Standard).
• Notifica delle risultanze provvisorie dell’ audit di sistema ai soggetti interessati (Standard
2400, 2410, 2420, 2430, 2440 IIA– ISA 230 - INTOSAI Auditing Standard) e
consequenziale avvio del contraddittorio.
• Monitoraggio delle criticità rilevate al sistema (Standard 2500 IIA).
• Analisi dei risultati dell’ audit di sistema (Standard 2310, 2320, 2330, 2340 IIA),
comunicazione delle risultanze attraverso il Rapporto di Audit di Sistema, con evidenza delle
raccomandazione aperte e chiuse a seguito della verifica delle azioni di follow-up da parte dei
soggetti sottoposti a controllo. (Standard 2400, 2410, 2420, 2430, 2440 IIA – ISA 230 INTOSAI Auditing Standard). Tutto ciò al fine di determinarne il livello di affidabilità e
stabilire i parametri tecnici per la successiva fase di campionamento.
• Attività di campionamento delle operazioni da sottoporre a audit, in conformità alle
previsioni regolamentali e secondo le modalità prescelte, descritte in dettaglio nel Manuale
(ISA 530). Il campionamento consiste in:
a) campionamento, eseguito in relazione al “livello di confidenza”, individuato sulla base
delle garanzie fornite dal SI.GE.CO., accertate a seguito dell’ audit sul sistema, della
valutazione dell’inherent risk e dell’esito dei test di conformità realizzati nell’ambito
dell’audit di sistema;
b) eventuale campionamento supplementare, eseguito sulla base della “valutazione dei
rischi” rilevati dall’attività di controllo condotta.
• Notifica del campione (statistico casuale (o casuale)/supplementare) ai soggetti interessati
(Standard 2440 IIA – ISA 230).
• Esecuzione dell’Audit delle operazioni selezionate (Standard 2300, 2310, 2320, 2330, 2340
IIA - ISA 250, ISA 315, ISA 580 - INTOSAI Auditing Standard).
Strategia di Audit
18
POR FESR 2007/2013 – POR FSE 2007/2013
• Notifica degli esiti provvisori di controllo sulle operazioni, con avvio della fase di
contradditorio (Standard 2400, 2410, 2420, 2430, 2440 IIA – ISA 230 - INTOSAI Auditing
Standard).
• Monitoraggio ed azioni di follow-up (Standard 2500 IIA).
• Comunicazione delle risultanze attraverso il rapporto definitivo di audit delle operazioni
(Standard 2310, 2320, 2330, 2340, 2600 IIA).
• Analisi dei risultati definitivi di audit e sintesi (Standard 2310, 2320, 2330, 2340 IIA).
• Redazione del Rapporto Annuale di Controllo e Parere annuale ed invio ufficiale alla
Commissione Europea, via web attraverso il sistema informativo SFC2007 e via e-mail
all’IGRUE (Standard 2400, 2410, 2420, 2430, 2440 IIA - ISA 230 - INTOSAI Auditing
Standard).
Le attività di controllo hanno come riferimento un’intera annualità, come previsto dall’art. 62 del
Reg. (CE) 1083/2006.
4. STRATEGIA E PRIORITÀ DELL’AUDIT
4.1 Soglie di rilevanza
La normativa comunitaria (Allegato IV al Regolamento CE n. 1828/2006) prevede che il livello di
certezza (o livello di confidenza) utilizzato per le operazioni di campionamento non deve essere
inferiore al 60% con una soglia di rilevanza massima del 2%.
Nel caso di un sistema ritenuto poco affidabile il livello di certezza utilizzato per le operazioni di
campionamento non deve essere inferiore al 90%.
La soglia di rilevanza adottata dall’AdA è pari al 2%, anche ai fini della segnalazione di eventuali
carenze riscontrate, ed un livello di certezza (o livello di confidenza) derivante dalla valutazione
dell’affidabilità del SIGECO del PO secondo quanto riportato nella seguente tabella:
Strategia di Audit
19
POR FESR 2007/2013 – POR FSE 2007/2013
Affidabilità
Livello di confidenza
Bassa
90%
Medio/bassa
80%
Medio/alta
70%
Alta
60%
4.2 Tipi di audit da effettuare
Gli audit da espletare sono:
• Audit al SIGECO del PO, essenziale per stabilire i parametri tecnici del campionamento, nel
rispetto dell’art. 17 e allegato IV del Reg.(CE) n. 1828/2006.
• Audit delle operazioni campionate, per accertare (campione casuale) il tasso di errore
rilevato, quello stimato e l’ammontare di spesa ritenuta irregolare nella domanda di
pagamento, oltre che garantire (con l’eventuale campione supplementare) l’affidabilità degli
audit.
Le attività sopra descritte (cfr par. 1.1.1), sono sintetizzate nel Rapporto di Controllo
Annuale/Finale e consentono di elaborare il Parere annuale/Dichiarazione di chiusura, con
ragionevole garanzia, circa il livello di efficace funzionamento del SIGECO del PO.
4.3 Audit dei sistemi
4.3.1 Organismo responsabile dell’attività di audit
L’organismo responsabile dell’attività di audit di sistema è il Dirigente pro-tempore Dott.ssa
Maria Grazia Falciatore, dell’AGC 22 (Ufficio di Piano) nominata con DGR n. 458 del 8/10/2011
(cfr par.1.3). Il personale dedicato, è indicato nell’Organigramma dell’Ufficio, illustrato al
paragrafo 7.1 “Risorse umane e finanziarie previste”.
Strategia di Audit
20
POR FESR 2007/2013 – POR FSE 2007/2013
4.3.2 Organismi da sottoporre ad audit
Gli organismi coinvolti nella programmazione, gestione e controllo dei PO, (AdG/ROO, OI, AdC),
nonché, i Sistemi Informativi di supporto alle attività svolte dagli stessi, vengono sottoposti ad
audit, sulla base degli 11 requisiti chiave e dei 35 sub criteri, contenuti nel documento “Guidance on
a common methodology for assessment of management and control systems in the Member States –
2007-2013 programming period COCOF 08/0019/00 – EN, ovvero:
 Kr 1. Chiara definizione, ripartizione e separazione delle funzioni tra l’ADG e gli O.I. e
al loro interno
1. Chiara definizione ed assegnazione delle funzioni
2. Procedure per monitorare i compiti delegati
 Kr 2. Adeguate procedure per la selezione delle operazioni
3.
4.
5.
6.
Pubblicazione avvisi e bandi
Ricezione e registrazione delle domande
Valutazione di tutte le domande
Comunicazione esiti
 Kr 3. Adeguata informazione e strategia per fornire assistenza ai beneficiari
7. Diritti e doveri dei beneficiari
8. Regole di eleggibilità chiaramente espresse
9. Accesso alle informazioni rilevanti da parte dei Beneficiari
 Kr 4. Adeguate verifiche di gestione
10. Esistenza procedure scritte
11. Tempestività delle verifiche (prima della certificazione)
12. Verifica amministrativa di tutte le domande di rimborso
13. Efficacia delle verifiche in loco
14. Analisi dei rischi per la selezione delle verifiche in loco
15. Registrazione delle verifiche effettuate
16. Procedure per assicurare che l’ADC riceva le informazioni
 Kr 5. Piste di controllo adeguate
17. Registrazioni contabili
18. Registrazione di ulteriori informazioni
19. Procedure per la definizione di piste di controllo adeguate
20. Esistenza di adeguate procedure di archiviazione
Strategia di Audit
21
POR FESR 2007/2013 – POR FSE 2007/2013
 Kr 6. Sistemi di contabilità, monitoraggio e report finanziario computerizzato
21. Esistenza di sistemi computerizzati adeguati
 Kr 7. Necessarie azioni preventive e correttive in caso di rilevazione di errori
sistematici da parte dell’AdA
22. Procedure di follow up
23. Procedure per la prevenzione e la correzione delle irregolarità
 Kr 8. Chiara definizione, ripartizione e separazione delle funzioni tra l’AdC e gli OI e
all’interno di essi
24. Rispetto del principio di separazione delle funzioni
25. Esistenza di procedure per monitorare i compiti delegati
26. Chiara definizione e ripartizione delle funzioni
 Kr 9. Piste di controllo e sistemi informatizzati
27. Registrazioni contabili informatizzate
28. Piste di controllo all'interno dell'Autorità di Certificazione permettono la riconciliazione
degli importi dichiarati alla Commissione europea e ricevuti dall'Autorità di Gestione
 Kr 10. Adeguati provvedimenti affinché la certificazione sia fondata su solide basi
29. Ricezione da parte dell’AdG di informazioni adeguate
30. Verifica dei controlli effettuati dall’AdG
31. Verifica dei controlli effettuati dall’AdA
32. Garanzia della regolarità e legalità della spesa certificata
33. Calcolo e riconciliazione delle richieste di pagamento
 Kr 11. Provvedimenti soddisfacenti per tenere la contabilità degli importi da
recuperare e per il recupero dei pagamenti non dovuti
34. Contabilità degli importi da recuperare e ritirati
35. Dichiarazione annuale alla Commissione
Nel pianificare le attività l’AdA deve garantire l’equa distribuzione dei controlli per singolo
soggetto da auditare nell’arco dell’intera programmazione.
Particolare attenzione deve essere posta per l’ individuazione dei ROO da sottoporre annualmente a
audit di sistema, in quanto non tutti operativi nell’intero periodo di programmazione, attraverso
l’analisi preliminare di alcuni elementi:
file di certificazione delle spese fornito dall’AdC, con l’indicazione di tutti i ROO che hanno
prodotto certificazione di spesa alla data di riferimento;
Strategia di Audit
22
POR FESR 2007/2013 – POR FSE 2007/2013
identificazione dei ROO che hanno prodotto certificazione di spesa per la prima volta;
eventuali attestazioni di spesa intermedie prodotte dai singoli ROO;
esiti dei precedenti audit dei sistemi;
esiti dei precedenti audit delle operazioni;
analisi della documentazione relativa a precedenti controlli effettuati dai soggetti esterni,
quali, la Commissione europea, la Corti dei Conti europea e/o nazionale, la Guardia di
Finanza, etc.
Nel caso in cui tali elementi non consentano di esprimere una corretta stima del rischio, si procede
ad una valutazione professionale dell’AdA atta a definire i soggetti da sottoporre a controllo.
Per i Sistemi informativi, è necessario verificare l’autenticità, la protezione e l’integrità dei dati,
attraverso:
• adeguati controlli all’accesso;
• regolari back-up dei dati;
• tracciabilità delle transazioni;
• controlli sulle registrazioni dei dati.
La verifica di sistema viene espletata mediante un’intervista diretta ai soggetti auditati supportata
dalla redazione di una check predisposta ad hoc, conformemente a quanto previsto dalla "Guidance
on a common methodology for the assessment of management and control systems in the Member
States" della Commissione, che racchiude tutti i c.d. “requisiti chiave” di cui alla stessa nota. (cfr.
Manuale delle procedure AdA). Nel corso dell’audit viene acquisita specifica documentazione a
supporto delle dichiarazioni rese dall’intervistato, facendo riferimento al test di conformità, ovvero
a quelle operazioni individuate per testare nel dettaglio i singoli requisiti chiave.
4.3.3 Aspetti orizzontali che devono essere valutati negli audit dei sistemi
Nell’ambito degli audit di sistema, viene verificato il rispetto delle principali norme relative agli
appalti pubblici, aiuti di stato, norme ambientali, pari opportunità e sistemi informatici, oggetto di
specifici punti di controllo inseriti nelle check-list.
Strategia di Audit
23
POR FESR 2007/2013 – POR FSE 2007/2013
In merito ai sistemi informatici, si fa riferimento alle seguenti norme accettate a livello
internazionale: (1) Organizzazione internazionale per la standardizzazione/norma britannica 7799:
Code of practice for Information Security Management (BS ISO/IEC 17799); (2) Bundesamt für
Sicherheit in der Informationstechnik (Ufficio federale per la sicurezza delle tecniche
dell’informazione): IT Grundschutzhandbuch/IT manuale di sicurezza informatica di base (BSI); (3)
Information Systems Audit and Control Foundation: Control Objectives for Information and related
Technology – COBIT (obiettivi di controllo nel campo dell’informazione e delle tecnologie
correlate).
4.4 Audit delle operazioni
4.4.1 Organismo responsabile dell'attività di audit
L’organismo responsabile è quello indicato ai paragrafi 1.1 e 7.1
4.4.2 Criteri per determinare il livello di garanzia ottenuto dagli audit dei sistemi e i
documenti utilizzati per applicare la metodologia di campionamento di cui all'articolo 17 del
REG. (CE) n. 1828/2006
II livello di garanzia definito per il SIGECO dei singoli PO scaturisce dagli esiti degli audit di
sistema.
Il processo seguito e la metodologia utilizzata (cfr. par.1.1.1 – 3.3 - 4.3), consente all’AdA di
valutare il livello di rischio (o grado di funzionamento) relativo a ciascun criterio esaminato,
associando ad ognuno un valore: "basso", "medio ", "alto", "max". Ovvero, ciascun livello
quantitativo di rischio viene posto in corrispondenza con il valore centrale delle classi ottenute dalla
griglia teorica di riferimento (cfr. manuale delle procedure AdA), riconducibile alle quattro
categorie per la valutazione dell'efficienza del Sistema di cui alla nota orientativa COCOF n°
08/0019/01:
Strategia di Audit
24
POR FESR 2007/2013 – POR FSE 2007/2013
Cat. I - Funziona bene - sono necessari miglioramenti di carattere marginale. II sistema
non presenta debolezze ovvero evidenzia solo criticità marginali che non hanno un impatto
significativo sul funzionamento delle diverse componenti e dei soggetti principali.
Cat. II - Funziona - ma necessita di miglioramenti. L'audit ha evidenziato alcune debolezze
del sistema che producono un moderato impatto sul suo funzionamento. A tal fine, la
Struttura di Audit formula delle raccomandazioni.
Cat. III Funziona parzialmente - il sistema necessita di miglioramenti sostanziali. Le
debolezze riscontrate hanno generato o potrebbero generare delle irregolarità tali da
compromettere in maniera significativa l'efficace funzionamento delle diverse componenti e
dei soggetti principali del sistema. A fronte di tale valutazione, "lo Stato Membro/la
Commissione europea potrebbero decidere di intraprendere azioni correttive (ad es.
interruzione o sospensione dei pagamenti) per mitigare il rischio di un utilizzo improprio
dei Fondi UE.
Cat. IV - Fondamentalmente non funziona - Le debolezze del sistema presentano un
carattere sistemico e riducono il grado di fiducia sull'affidabilità del sistema. A tal fine, la
Struttura di Audit predispone ed attua un piano di azione formale. "Lo Stato Membro/la
Commissione europea intraprendono azioni correttive per mitigare il rischio di un uso
improprio dei Fondi UE
Calcolo della numerosità campionaria
Per i PO che non rientrano nei parametri previsti dall’art. 74 del Regolamento (CE) 1083/6, i
regolamenti hanno introdotto l’obbligo di procedere ad un campionamento statistico di tipo casuale,
al fine di trarre dai risultati degli audit del campione conclusioni relative alla spesa complessiva da
cui è stato tratto il campione. L’obiettivo dell’indagine campionaria è quello di stimare il rapporto
tra spesa irregolare e spesa certificata, cioè il tasso di errore.
Il campionamento sull’annualità N è effettuato a conclusione dell’audit di sistema sull’ultima
domanda di pagamento presentata alla Commissione Europea risultante al 31 dicembre dell’anno N,
sui dati che saranno prelevati dal sistema di contabilità informatizzata dall’AdC del PO (ovvero
all’inizio dell’anno N+1) e trasmessi all’AdA.
Il calcolo del numero di operazioni complessivamente da campionare per l’anno N è basato sul
livello di confidenza, sul numero di operazioni finanziate la cui spesa è stata dichiarata
Strategia di Audit
25
POR FESR 2007/2013 – POR FSE 2007/2013
nell’annualità oggetto di controllo, ovvero sull’incremento dell’ammontare dell’importo
complessivo di spesa dichiarata nel medesimo periodo.
Effettuato il campionamento, si da avvio ai controlli sulle operazioni selezionate, la cui conclusione
è prevista, per l’annualità N di spesa, entro il 30 giugno dell’anno N+1, come appunto prevede la
tempistica di audit imposta dall’art. 16 del Reg.(CE) 1828/2006 ed allegato VI e dall’art. 62 del
Reg. (CE) n. 1083/2006 .
In ragione della diversa affidabilità dei sistemi gestionali, sono identificati diversi livelli di
confidenza come di seguito riportati:
una probabilità (livello di confidenza – LC) del 60% della correttezza delle stime per sistemi
ad alta affidabilità (basso rischio);
del 70% in caso di medio-alta affidabilità (medio rischio);
del 80% in caso di medio-bassa affidabilità (alto rischio);
del 90% per sistemi a bassa affidabilità (Max rischio).
Il livello di confidenza, quindi, è correlato al livello di affidabilità del sistema per rendere
statisticamente attendibili i risultati degli audit sulle operazioni, in virtù della regola generale
secondo cui il livello di affidabilità o attendibilità (LA) è la probabilità complementare al rischio di
non individuazione (DR), determinato quest’ultimo in considerazione del rischio inerente (IR), del
rischio di controllo (CR) e del rischio di controllo complessivo (AR - stabilito dall’A.d.A.: max al
10%).
Quanto detto trova descrizione nel seguente modello matematico:
- AR = IR x CR x DR,
- dove DR = AR/(IR x CR),
- e quindi LA = 1 - DR
Si può ritenere di poter egualmente considerare:
- LC = LA,
Strategia di Audit
26
POR FESR 2007/2013 – POR FSE 2007/2013
- ovvero, collocare la probabilità complessiva di rischio gestionale del sistema (MR = CR x IR)
all’interno di range predefiniti collegati a LC congrui.
In tutti i casi, la soglia di rilevanza (ossia il livello massimo tollerabile di errore nell’esecuzione del
controllo sul campione) è mantenuta entro il limite del 2%.
Fissare la soglia di rilevanza al 2% significa che il tipo di irregolarità che ci si aspetta di incontrare
nell’audit delle operazioni (controlli di II livello in un sistema di gestione e controllo ben
strutturato) non può che essere di natura casuale.
Infatti, i regolamenti comunitari suggeriscono, in caso di riscontro di errori non casuali ( superiori al
2% e pertanto definiti come sistematici), di analizzare il significato di tali errrori e prendere i
provvedimenti necessari, comprese le adeguate raccomandazioni, comunicandole nel Rapporto
Annuale di Controllo (cfr art. 17, comma 4, Reg. (CE) 1828/06).
In altri termini, in caso di riscontro di irregolarità superiori alla soglia del 2% di rilevanza, l’AdA
non aumenta la dimensione del campione casuale, ma può decidere, sulla base di una valutazione
professionale, di effettuare un campione aggiuntivo per comprendere meglio le cause delle
irregolarità (campione supplementare).
Secondo tale interpretazione, quando le irregolarità costituiscono eventi rari è opportuno utilizzare
le proprietà della distribuzione di Poisson (distribuzione statistica degli eventi rari) per determinare
la dimensione del campione da sottoporre a controllo.
La distribuzione di Poisson viene spesso usata per rappresentare un numero di manifestazioni di un
dato fenomeno in un intervallo di tempo. A tale proposito, gli articoli 16 e 17 del Regolamento CE
1828/06, specificano che l’oggetto del campionamento è l’operazione .
Le metodologie di campionamento utilizzate si differenziano in funzione della numerosità
dell’Universo da indagare e della composizione dello stesso.
Ricordiamo che la distribuzione di probabilità di Poisson è data da:
x
px
Strategia di Audit
x!
27
e
POR FESR 2007/2013 – POR FSE 2007/2013
dove il parametro
( >0) rappresenta media e varianza della distribuzione. Tale distribuzione
indica la probabilità che un evento (numero di errori o irregolarità) si verifichi x volte.
Ipotizzando che la spesa da sottoporre ad audit non dovrebbe presentare errori o irregolarità,
essendo già sottoposta al controllo di I livello, quindi:
X=0
nella formula di Poisson, si ricava che la numerosità campionaria è data da:
dove:
n
è la numerosità campionaria cercata;
ln
è il logaritmo naturale;
LC
è il Livello di Confidenza stabilito;
SR
è la Soglia di Rilevanza definita (2%) ed è uguale al rapporto tra:
.
Se gli Universi di riferimento dai quali si devono estrarre i campioni sono composti da un numero
di operazioni sufficientemente elevato (più di 800 operazioni) le numerosità dei campioni sono,
secondo il diverso grado di rischio in cui sono state classificate le operazioni, rispettivamente di 46,
60, 80 e 116.
Nel caso in cui invece di esattamente 0 errori, l’AdA si aspetta un numero di irregolarità positivo (il
che ovviamente implica che alcune delle unità monetarie siano associate ad errore), è possibile
correggere la formula per il calcolo della numerosità campionaria ottimale in:
dove EM è il valore atteso delle irregolarità (cioè una indicazione media del valore dell’errore che
l’auditor si aspetta di osservare nel campione), e ǿ rappresenta un fattore di aggiustamento definito
in funzione del massimo valore che l’auditor è disposto a tollerare per la probabilità di considerare
Strategia di Audit
28
POR FESR 2007/2013 – POR FSE 2007/2013
come accettabile un campione che in effetti contiene degli errori. Per opportuni livelli di tale
probabilità, (ad esempio quelli utilizzati solitamente: 0,01; 0,05 e 0,10), il fattore di aggiustamento è
tabulato (rispettivamente vale 1,9; 1,6 e 1,5).
Ovviamente, tanto più l’auditor vuole limitare la possibilità di errori, tanto maggiore è la numerosità
campionaria richiesta.
Quando, invece, il numero di operazioni della popolazione è limitato (meno di 800 operazioni), la
numerosità campionaria sarà corretta in ragione delle reali dimensioni degli Universi di riferimento,
utilizzando la tabella di seguito riportata o applicando la seguente formula:
*
dove:
n*
è la numerosità del campione cercata;
N
è la numerosità dell’Universo di riferimento;
n
è la numerosità del campione per Universi superiori a 800 unità calcolata per i diversi LC;
LC
è il Livello di Confidenza stabilito.
Numerosità della popolazione
LC
N
50
100
200
300
400
500
600
700
800
N
n*
n*
n*
n*
n*
n*
n*
n*
n*
60%
46
24
32
37
40
41
42
43
43
43
65%
52
25
34
41
44
46
47
48
48
49
70%
60
27
38
46
50
52
54
55
55
56
75%
69
29
41
51
56
59
61
62
63
64
80%
80
31
44
57
63
67
69
71
72
73
Strategia di Audit
29
POR FESR 2007/2013 – POR FSE 2007/2013
85%
95
33
49
64
72
77
80
82
84
85
90%
116
35
53
73
83
89
93
97
99
101
95%
150
38
60
86
100
109
115
120
124
126
In alternativa alla correzione sopra evidenziata, sempre nel caso di Universi inferiori ad 800
operazioni, è possibile anche individuare campioni non statistici secondo quanto previsto dalla
Commissione europea nel “Draft guidance note on sampling methods for audit authorities” COCOF 08/0021/00-EN, al punto 6.1.4 ed applicando il metodo indicato al punto 6.6.
L’Autorità di audit nel caso di Universi con meno di 800 operazioni adotta, sulla scorta della nota
prot. 45090 del 01/05/10 inviata dal MEF avente ad oggetto “Orientamenti per la ridefinizione della
metodologia di campionamento per piccole popolazioni di progetti relative alla programmazione
2007/2013” il metodo di campionamenti di Poisson corretto.
La numerosità del campione terrà conto del livello di affidabilità del sistema (e del corrispondente
livello di confidenza) determinato in via preliminare.
Estrapolazione del campione
Come precedentemente segnalato, l’obiettivo diretto è quello di stimare la percentuale di spesa
irregolare. A tale risultato si può arrivare considerando le unità di spesa irregolare. Si utilizza
come unità campionaria le unità monetarie contenute nell’importo totale dell’operazioni certificate
nell’anno precedente alla presentazione del rapporto annuale (BV). Quindi, si parla di
campionamento per unità monetarie (Monetary Unit Sampling, MUS). In altre parole, invece delle
N operazioni si considera una popolazione (in realtà fittizia) composta dalle BV unità monetarie
che compongono il book in analisi.
Con un esempio ripercorriamo le fasi del campionamento, supponendo che le informazioni a priori
disponibili per l’auditor facciano sì che l’effettivo livello di errore presente nella popolazione sia
ragionevolmente basso, il livello di confidenza può essere fissato, quindi, al 60%, secondo le
direttive della Comunità. Come detto in precedenza, la numerosità campionaria da selezionare in
questo caso è pari a n=46 unità monetarie.
Strategia di Audit
30
POR FESR 2007/2013 – POR FSE 2007/2013
Procedura di estrazione del campione:
1. Determinare il punto di partenza, mediante un generatore di numeri casuali, compreso
nell’intervallo [1; BV].
2. Dividere il numero di unità presenti nella popolazione (BV) per il numero di unità da
inserire nel campione (n), in modo da ottenere il Passo di Campionamento (PC).
3. Partire dal numero generato come punto di partenza, selezionando una unità ogni PC =
BV/n .
4. Tale procedimento viene reiterato tante volte pari al numero
n di euro da estrarre,
precedentemente determinato. Se l’addizione del passo di campionamento porta ad un
numero superiore a BV, si riprende la procedura dal punto iniziale .
Conseguentemente, l’auditor può ottenere una misura sintetica dell’errore percentuale calcolando
la media aritmetica epm (cioè la somma dei valori ep divisa per il numero di errori, r). A questo
punto, per poter efficacemente spostare l'analisi dal livello delle singole unità monetarie al livello
delle operazioni, è necessario presumere che esista una relazione nota tra ciò che accade nella
prima popolazione (formata da BV unità monetarie) e ciò che accade nella seconda (formata da N
operazioni).
In particolare, assumiamo che il valore degli errori nella popolazione di operazioni sia
proporzionale a quello che si osserva nel campione. Grazie a questa assunzione e poiché una unità
ogni pc = BV / n viene inserita nel campione, possiamo stimare il valore totale del misstatement
nella popolazione di N operazioni come:
La quantità PM viene detta projected misstatement (cfr. documento di programmazione della
Comunità) e rappresenta una stima puntuale dell’errore presente nella popolazione di riferimento.
Per dare conto dell’incertezza legata a questa stima (e dovuta al fatto che si è osservato
esclusivamente un campione, piuttosto che l’intera popolazione), si procede alla costruzione di un
intervallo di confidenza (IC), in questo caso al livello del 60%. Seguendo l’approccio standard
Strategia di Audit
31
POR FESR 2007/2013 – POR FSE 2007/2013
utilizzato nelle applicazioni statistiche, questo intervallo viene calcolato secondo il seguente
razionale:
IC = stima puntuale ± (misura di incertezza × fattore di aggiustamento).
Nel caso del MUS , la definizione della misura di incertezza e del relativo fattore di aggiustamento
non sono banali e pertanto lo standard operativo utilizzato nella letteratura prevede che il limite
massimo per il misstatement totale nella popolazione di operazioni di riferimento sia calcolato come
la somma di tre quantità:
1. il projected misstatement, PM;
2. la precisione di base, che rappresenta un’indicazione costruita ad hoc della variabilità
associata alla stima PM;
3. un fattore di incremento, utilizzato per migliorare la precisione della stima.
Conseguentemente , il misstatement totale è stimato al massimo (limite superiore, UL) al valore:
= PM(λ 1 - λ0 ) + λ0*
dove λ0 = –log(α) e λ 1 è il reliability factor per il caso in cui l’auditor si aspetta un errore (questo
parametro viene calcolato utilizzando procedure computerizzate, oppure attraverso delle tavole).
Finalmente, l’auditor può confrontare questo valore con il misstatement tollerabile TM, fissato
al 2% del valore del book,con due possibili risultati:
UL > TM
C’è sufficiente evidenza per concludere l’esistenza di un misstatement
significativamente superiore al livello di materialità
UL <= TM
Non c’è sufficiente evidenza per concludere l’esistenza di un misstatement
significativamente superiore al livello di materialità.
Strategia di Audit
32
POR FESR 2007/2013 – POR FSE 2007/2013
4.4.3 Procedura per determinare le tappe da seguire in caso di rilevamento di errori materiali.
La rilevazione di errori, nel corso degli audit di sistemi o degli audit di operazioni, deve risultare da
idonea documentazione atta a comprovarne l’esistenza, le sue caratteristiche, la dimensione e le
operazioni effettuate per la sua individuazione. Tali elementi sono inseriti e registrarti nel Sistema
Informativo dell’AdA.
L’AdA valuta la natura e le caratteristiche dell'errore, nonché l'opportunità di ulteriori indagini,
compresa la selezione di un apposito campione supplementare di operazioni o la verifica di
particolari aspetti o organismi del SIGECO del programma.
Gli errori rilevati sono comunicati all'organismo interessato con richiesta di documentazione,
instaurando con lo stesso un processo di contraddittorio al fine di ottenere eventuali
controdeduzioni e/o ricevere informazioni circa le misure adottate per la sua eliminazione.
Sulla base dell'analisi di quanto acquisito nella fase di contraddittorio, l' AdA, a seguito di formale
valutazione, provvede a notificare agli stessi organismi, nonché all’AdC, l'esito finale del controllo
con l’evidenza di eventuali raccomandazioni.
L’errore accertato deve essere classificato in sistemico o casuale, in conformità a quanto previsto
dall’ISA 530:
• un errore è definito sistemico quando sono presenti una serie di operazioni simili o procedure
affini dello stesso organismo o di organismi diversi;
• un errore è definito casuale quando per le caratteristiche dell'errore è possibile/probabile che
si producano altre irregolarità della stessa o di diversa natura.
La metodologia per la selezione di eventuali campioni supplementari dipende dalla tipologia delle
irregolarità riscontrate. In particolare, essa si fonda su un'analisi dei rischi rilevati in sede di
individuazione delle citate irregolarità. Tale analisi mira a selezionare un preciso universo di
operazioni che presentino gli elementi necessari per un'indagine adeguata del fattore critico
individuato, da tale universo viene estratto un nuovo campione per l'esame supplementare.
Strategia di Audit
33
POR FESR 2007/2013 – POR FSE 2007/2013
4.5 Priorità e obiettivi degli audit stabiliti per l’intero periodo di
programmazione
Le priorità e gli obiettivi di audit, sono individuate dall’AdA, secondo i criteri di seguito riportati,
nonché considerando l’esperienza acquisita nel corso della programmazione 2000-2006 e nel corso
delle prime attività di controllo relative alla programmazione 2007-2013:
• vincoli imposti all'attività di audit dal quadro normativo comunitario e dagli standard
internazionali di audit;
• concentrazione delle attività di controllo, nella prima fase di programmazione, sugli audit di
sistema per assicurarsi, già nel periodo iniziale, la conformità del sistema con il quadro
normativo e la presenza di tutti gli elementi essenziali per la corretta realizzazione del
programma (adeguata organizzazione, piste di controllo, formalizzazione delle procedure di
gestione e controllo, sistema informativo), posto che eventuali carenze nell'impostazione del
sistema di gestione e controllo possono produrre irregolarità aventi carattere sistematico;
• la verifica attraverso gli audit sulle operazioni di tutte le principali tipologie di operazione
(classi, dimensione finanziaria, ecc);
• un adeguato equilibrio fra audit sul sistema di gestione e controllo e sulle operazioni al fine di
garantire la massima sinergia fra i due strumenti di controllo.
Una volta fissati priorità ed obiettivi è possibile pianificare le attività da espletare nel corso della
programmazione. In particolare si riportano:
a) Sintesi delle attività solte nel periodo 2008 – 2010:
verifica interna dell’adeguatezza del SIGECO rispetto ai principi normativi di riferimento
del PO;
predisposizione della prima versione della Strategia e del Manuale di Audit;
aggiornamenti alla Strategia di Audit;
audit di sistema;
audit delle operazioni relativamente alle certificazione di spesa prodotte;
rilascio dei pareri di conformità agli OI formalmente delegati.
Le risultanze delle attività di audit svolte sono state riportate nei singoli RAC.
Strategia di Audit
34
POR FESR 2007/2013 – POR FSE 2007/2013
b) Le attività di audit del periodo 2011 – 2015:
• audit di sistema AdG, OI e AdC;
• verifica dell'affidabilità del SIGECO attraverso l'aggiornamento dell'analisi dei rischi;
• dimensionamento ed estrazione del campione delle operazioni certificate;
• audit operazioni campionate;
• predisposizione e invio del RAC e del parere di cui all'articolo 62 paragrafo 1 lettera d) punti i)
e ii) del Reg. CE 1083/2006
c) Le attività di audit di chiusura:
predisposizione e invio, entro il 31 marzo 2017, del Rapporto di Controllo Finale, in cui è
necessario includere le informazioni relative alle attività di audit effettuate dopo il 1° luglio
2015, e della Dichiarazione di Chiusura di cui all'articolo 62 paragrafo 1 lettera e) del Reg.
(CE) n. 1083/2006.
predisposizione e invio Dichiarazione di Chiusura Parziale, attestante la legittimità e regolarità
della spesa, nei casi previsti dall'art. 88 del Reg. CE 1083/2006.
4.6 Connessione tra i risultati della valutazione dei rischi e l’attività di audit
prevista
L’analisi dei rischi consente di determinare le principali carenze legate ai processi di gestione e
controllo, nonché, gli organismi responbabili al fine di individuare i soggetti da sottoporre ad audit,
associandone l’opportuna tempistica (cfr par. 3.3).
4.7 Pianificazione annuale
Preliminarmente alle attività annuali di controllo l’AdA:
esegue e formalizza l’analisi dei rischi;
Strategia di Audit
35
POR FESR 2007/2013 – POR FSE 2007/2013
individua gli assi/obiettivi rispetto ai quali concentrare le attività di audit;
definisce le tempistiche del controllo e le risorse da utilizzare.
Il calendario delle attività di audit previste per l’intero periodo di programmazione è riportato nel
seguente GANTT:
5 VALUTAZIONE DEI RISCHI
5.1 Procedure seguite nella valutazione del rischio.
La valutazione dei fattori di rischio da parte dell’AdA
importanza
teso
a
garantire
l’efficace
rappresenta un processo di primaria
funzionamento
del
SIGECO
posto
in
essere
dall’Amministrazione regionale. Tale “garanzia” è il risultato della valutazione congiunta degli esiti
degli audit dei sistemi e dei dati ottenuti dagli audit delle operazioni.
Nel ciclo di controllo, l’analisi dei rischi consente di esprimere un parere sul grado di affidabilità
del sistema, il cui esito (alto/medio/basso) determina il livello di garanzia che, a sua volta, –
Strategia di Audit
36
POR FESR 2007/2013 – POR FSE 2007/2013
congiuntamente alla soglia di rilevanza – delimita la dimensione del campione di progetti da
sottoporre a verifica per ciascuna annualità di riferimento.
L’estrazione di un gruppo di operazioni rappresentativo e lo svolgimento dei relativi controlli
costituiscono il feed-back per l’accertamento dell’esistenza o meno di ulteriori fattori di rischio,
attraverso cui è possibile riscontrare il sussistere di errori o anomalie di gestione e/o procedurali,
legate a particolari aree di intervento, organismi gestori o beneficiari finali.
Pertanto, l’aggiornamento periodico delle criticità nell’ambito del processo di controllo costituisce
l’attività cardine dell’audit di sistema il quale viene condotto mediante l’analisi del livello di rischio
inerente (IR) e di controllo (CR) associato a ciascun fattore, il cui prodotto (IR x CR) rappresenta il
rischio globale calcolato all’interno del P.O.
Le due diverse tipologie di rischio sono determinate con riferimento ad ogni singolo requisito
chiave e all’interno degli stessi requisiti chiave, per ogni singolo criterio (cfr. par. 4.3.1), oggetto
della check list di controllo per l’audit di sistema (cfr. Manuale delle procedure AdA).
Gli elementi da considerare per la determinazione dei rischi sono definiti sulla base delle piste di
controllo e dei documenti relativi all’organizzazione e alle procedure adottate dalle diverse Autorità
e organismi sopposti a controllo.
5.2 Autorità di Gestione, Autorità di Certificazione e organismi intermedi
coperti
Gli organismi oggetto di valutazione del rischio sono tutti gli attori coinvolti nel processo di
programmazione, gestione, controllo e certificazione, per ciascun singolo PO, il cui modo di
operare determina l’efficienza e l’efficacia delle procedure e delle attività realizzate:
AUTORITA’ DI GESTIONE PO FESR
Dirigente Pro-tempore AGC 09
Via S. Lucia – 80100 Napoli
e-mail [email protected]
Strategia di Audit
37
POR FESR 2007/2013 – POR FSE 2007/2013
OI COMUNE DI BENEVENTO – PO FESR
Via Annunziata Palazzo Mosti – Benevento
Responsabile Avv. Angelo Mancini
e-mail: [email protected]
OI CAVA DE’ TIRRENI – PO FESR
P.zza Abbro s.n.c. – Cava de’ Tirreni
Responsabile Ing. Antonino Attanasio
e-mail: [email protected]
OI COMUNE DI SALERNO PO FESR
Via Roma Palazzo di Città – Salerno
Responsabile dott. Raffaele Lupacchini
e-mail: [email protected]
OI ERCOLANO – PO FESR
C.so Resina n.39 - Ercolano
Responbabile dott. Vincenzo Strazzullo
e-mail: [email protected]
AUTORITA’ DI GESTIONE PO FSE
Dirigente Pro-Tempore AGC 03
Via S. Lucia – 80100 Napoli
e-mail: [email protected]
OI MIUR - PO FSE – PO FESR
C.so Trastevere – 80100 Roma
Responsabile dott.ssa Annamaria Leuzzi
e-mail: [email protected]
Strategia di Audit
38
POR FESR 2007/2013 – POR FSE 2007/2013
AUTORITA’ DI CERTIFICAZIONE PO FESR – PO FSE
Dirigente Pro-Tempore AGC 08
Centro Direzionale Is.C5
80143 Napoli
e-mail: [email protected] – [email protected]
5.3 Fattori di rischio considerati e metodo generale di valutazione del rischio.
I fattori di rischio considerati sono:
modifiche al SIGECO
risultati delle attività di audit condotte
risultati dei controlli effettuati dall’AdG e dall’AdC
risultati dei controlli effettuati da organismi esterni, ovvero dall’IGRUE, della Corte dei
Conti europea/nazionale, della Commissione europea ecc...
Tali fattori sono oggetto di valutazione del “rischio intrinseco” e del “rischio di controllo” (cfr.
par. 5.1), di seguito dettagliati:
Rischio Intrinseco o Inherent Risk - IR (ISA 200) è il rischio correlato alla natura delle
attività, delle operazioni e delle strutture di gestione che si verifichino errori o anomalie
nella gestione finanziaria che, se non prevenuti o individuati e corretti dall’attività di
controllo interno, possono rendere i saldi contabili suscettibili di essere inaffidabili e le
transazioni collegate di essere significativamente illegittime o irregolari o possono generare
la suscettibilità della gestione finanziaria di essere inadeguata. I fattori che concorrono alla
determinazione del rischio intrinseco sono quelli che riguardano il macroprocesso inteso
come complessità dell’attività, quantità documentale esaminata, soggetti coinvolti e
tempistica di attuazione delle operazioni.
La sua determinazione dipende principalmente dai seguenti elementi:

numero di attività previste nel macroprocesso;

complessità di tali attività;
Strategia di Audit
39
POR FESR 2007/2013 – POR FSE 2007/2013

numero di passaggi di documentazione amministrativo-contabile tra i soggetti
previsti nella pista di controllo;

numero dei soggetti coinvolti e dei livelli di responsabilità;

tempistica di attuazione delle operazioni.
Rischio di controllo interno o Control Risk - CR (ISA 200) è il rischio che errori o
anomalie significative nella gestione finanziaria non siano prevenuti o individuati e corretti
tempestivamente dall’attività di controllo interno. L’attività è caratterizzata dagli elementi
che riguardano l’informazione deducibile dai controlli di I livello e da quelli effettuati
dall’AdC, nonché, dalla valutazione dell’organizzazione preposta al controllo e dal rispetto
della pista di controllo.
La sua determinazione dipende principalmente dai seguenti elementi:

l’organizzazione della struttura preposta al controllo e il livello di preparazione delle
persone e degli organismi che vi partecipano;

la presenza di tutti i punti di controllo previsti dalla pista di controllo;

le informazioni deducibili dai controlli di primo livello (in particolare dalle check list
allegate alle Dichiarazioni di spesa dell’UCO e Autorità di Gestione);

le informazioni deducibili dai controlli indipendenti condotti dall’Autorità di
Certificazione.
Ad ogni singolo fattore di rischio considerato, associato ai rispettivi requisiti chiave e sub criteri
oggetto di audit di sistema (cfr. par. 4.3.1.), è attribuito un punteggio numerico estrapolato dalla
griglia di riferimento per la quantificazione dei livelli di rischio (cfr. Manuale delle procedure AdA)
La metodologia di valutazione del rischio, unitamente alla sua determinazione quantitava è
analiticamente descritta nel Manuale delle procedure AdA.
Strategia di Audit
40
POR FESR 2007/2013 – POR FSE 2007/2013
5.4 Risultati dell’analisi dei rischi e ordine di priorità tra i soggetti, i processi, i
controlli e i programmi principali da sottoporre ad audit
I risultati della valutazione del rischio consentono all’AdA di determinare le priorità da considerare
nella stesura del piano di lavoro, unitamente alle indicazioni fornite dal MEF, e riportate nella
seguente tabella:
Strategia di Audit
41
POR FESR 2007/2013 – POR FSE 2007/2013
2007 IT 16 1 PO00 9
Numeri CCI
“POR Campania FESR ”
Nomi dei programmi
2007 IT 05 1 PO00 1
FESR
Fondi
FS E
“POR Campania FSE ”
Attività di audit per anno
Organismi da sottoporre
ad audit
Numero CCI
Importo
approvato
2007 IT 16 1 PO00 9
6.864 .795 .198
Organismo
responsabile
dell’audit
R isultato della
valutazione
del rischio
Alto
Autorità di Gestione
2007 IT 05 1 PO00 1
Autorità di Certificazione
Aspetti orizzontali
Appalti pubblici
Sistema informatico
computerizzato di gestione e
controllo
Aiuti di Stato
Pari opportunità
Norme Ambientali
Strategia di Audit
1.118 .000 .000
2007 IT 16 1 PO 00 9
6.864 .795 .198
2007 IT 05 1 PO00 1
1.118 .000 .000
Medio
AdA – AGC 22
Ufficio di Piano
Basso
Priorità, obiettivi e ambito
dell’audit
1.
2.
Audit di sistema
Audit di sistema sulle
funzioni
dell’AdG delegate
Test di conformità
Audit delle operazioni
Qualità dell’Audit
Follow-up
Eventuale campione
up lementare
supp
3.
4.
5.
6.
7.
1.
2.
3.
Audit di sistema
Follow-up
Qualità dell’Audit
20 10
Priorità,
obiettivo e
ambiti
dell’audit
20 11 Priorità,
obiettivi e
ambito
dell’audit
1.
2.
1.
2.
3.
4.
5.
6.
7.
Si
SI
Si
Si
No
No
N
6.
7.
o
1.
2.
3.
3.
4.
5.
Si
No
No
Si
SI per OI
nuovi
Si
Si
Si solo
su Audit
Operazio
ni
Si
N
o
1. Si
2. Si
3. N
20 12
Priorità,
obiettivi e
ambito
dell’audit
201 3-2015
Priorità e
obiettiv1
dell’aud it
1.
2.
1.
2.
Si
SI per
OI
nuovi
Si
Si
Si
Si
Si
3.
4.
5.
6.
7.
Si
SI per
OI
nuovi
Si
Si
Si
Si
Si
3.
4.
5.
6.
7.
1.
2.
3.
Si
Si
Si
1.
2.
3.
Si
Si
Si
0
2007 IT 16 1 PO00 9
2007 IT 05 1 PO00 1
2007 IT 16 1 PO00 9
2007 IT
2007 IT
2007 IT
2007 IT
2007 IT
2007 IT
2007 IT
05 1 PO00 1
16 1 PO00 9
05 1 PO00 1
16 1 PO00 9
05 1 PO00 1
16 1 PO00 9
05 1 PO00 1
N/D
Medio
1.
Test di controllo
1.
Si
1.
Si
1.
Si
1.
Si
Medi
1.
Test di controllo
1.
Si
1.
Si
1.
Si
1.
Si
0
Medio
1.
Test di controllo
1.
Si
1.
Si
1.
Si
1.
Si
Basso
1.
Test di controllo
1.
Si
1.
Si
1.
Si
1.
Si
Basso
1.
Test di controllo
1.
Si
1.
Si
1.
Si
1.
Si
N/D
N/D
N/D
N/D
42
POR FESR 2007/2013 – POR FSE 2007/2013
6 RICORSO AL LAVORO DI TERZI
Le attività di audit di cui all’art. 62 del Reg. (CE) n. 1083/2006 non sono state delegate a soggetti
terzi e sono svolte dal personale incardinato nella struttura dell’AGC 22 - Ufficio di Piano, sotto la
direzione e la supervisione del Dirigente pro-tempore nella sua qualità di AdA.
L’AdA si avvale, inoltre, del supporto specialistico dell’AT fornito dalla Reconta Ernst &Young
S.p.A, per l’espletamento delle attività di audit, la predisposizione dei rapporti di controllo (annuali
e finale), la redazione dei pareri relativi all’efficace funzionamento del SIGECO dei PO e delle
Dichiarazioni di Chiusura previste dall’art. 62 del Reg. (CE) n. 1083/2006.
7 RISORSE
7.1 Risorse umane e finanziarie previste
Il Responsabile dell’Ufficio di Piano (AGC 22) assume la funzione di AdA per la programmazione
2007-2013, conformemente a quanto previsto dal DPGR n.55 del 27/02/2008, avvalendosi per
l’esercizio delle sue funzioni del personale e della struttura organizzativa della stessa AGC 22,
composta complessivamente da ventidue unità.
Si riporta di seguito l’organigramma dell’Ufficio di Piano approvato con DD n.5 del 3 ottobre 2011:
Strategia di Audit
43
POR FESR 2007/2013 – POR FSE 2007/2013
Le risorse preposte all’attività di audit hanno esperienza specifica in materia di fondi strutturali e
sono affiancate da personale specialistico dell’AT, con particolari competenze in ambito tecnico,
contabile e giuridico.
Strategia di Audit
44
POR FESR 2007/2013 – POR FSE 2007/2013
8 RELAZIONI
Le varie fasi che caratterizzano l’attività di audit si sostanziano in una serie di relazioni interne ed
esterne alla stessa AdA e che trovano riscontro nel suo Manuale operativo, dando luogo a
“procedure” interne ed esterne. Nella tabella 2, riportata al paragrafo successivo, ad ogni singola
attività svolta e/o procedura implementata, sono associate le relazioni e/o rapporti che ne
scaturiscono.
8.1 Procedure interne per le relazioni (rapporto di audit provvisorio e definitivo
delle operazioni, i rapporti di controllo di sistema, ecc.) strumenti di reporting e
procedura di follow-up.
Per poter comprendere le relazioni derivanti dall’esecuzione delle singole attività di audit, si
riportano di seguito le attività specifiche per audit di sistema e audit delle operazioni (Tabella 1), e
gli strumenti di reporting e procedure di follow-up (Tabella 2):
Strategia di Audit
45
POR FESR 2007/2013 – POR FSE 2007/2013
Tabella 1. Attività svolte dall’AdA
ESECUZIONE AUDIT OPERAZIONI
ESECUZIONE E AGGIORNAMENTO
DELL’AUDIT DI SISTEMA
Aggiornamento del system audit dell’anno precedente
(secondo la metodologia prescelta)
Descrizione provvisoria dei fenomeni rilevati, relativa
descrizione
delle
aree
di
criticità
rilevate
e
formulazione di prime ipotesi di miglioramento:
eventuale difformità dal modello di gestione e controllo
rappresentato nella descrizione iniziale dei sistemi per la
valutazione di conformità; difformità da quanto rilevato
l’anno precedente in occasione del system audit e
rapporto annuale di controllo; divergenze rispetto alla
pianificazione fatta nella strategia di audit, ecc.
Da quest’analisi scaturiscono: aree di criticità e ipotesi
provvisorie di miglioramento, ancora da verificare e
formalizzare, che vengono rilevate nel periodo in cui
sono in corso gli audit delle operazioni, in attesa di
verificare, anche mediante l’esito di questi, la loro
adeguatezza e pertinenza.
Stime quantitative sull’affidabilità dei sistemi, che
Formulazione di un calendario completo per il periodo
alimentano la numerosità del campione di operazioni
di audit delle operazioni e comunicazione dello stesso
da controllare con i relativi audit. Da questo periodo in
all’ AdG/ROO prima dell’inizio dei controlli
avanti il system audit si arresta temporaneamente
Comunicazione del calendario dei controlli ai soggetti
incaricati di svolgere gli audit (verificatori)
Comunicazione
dell’avvio
del
procedimento
ai
beneficiari interessati con in copia all’AdG/ROO/OI
Per
ogni
operazione
verifica
amministrativo
–
contabile: acquisizione documentazione amm.va e di
spesa e relativa analisi, interviste, documentazione
relativa ai controlli di I livello ed eventuali controlli di
Strategia di Audit
46
POR FESR 2007/2013 – POR FSE 2007/2013
soggetti terzi, eventuale richiesta di integrazioni
Per
ogni
operazione,
a
seguito
della
verifica
amministrativo – contabile, verifica in loco: verifica dei
beni e servizi, acquisizione di eventuali integrazioni alla
documentazione di spesa, ecc.
Per ogni controllo effettuato redazione di un rapporto di
controllo provvisorio (sulla base di lista di controllo
standard) con formulazione di un esito provvisorio con
indicazione
delle
criticità
che
vengono
descritte
dettagliatamente ed indicazione del termine entro il quale
formulare eventuali controdeduzioni..
Invio del rapporto di controllo provvisorio, all’
AdG/ROO/OI e Beneficiario
Raccolta ed esame di eventuali controdeduzioni dell’
AdG/ROO e dell’OI interessato
Per ogni controllo effettuato redazione di rapporto di
controllo definitivo con formulazione di un esito
conclusivo del controllo da parte del verificatore.
Se
presenti proposte di decertificazione queste vengono
descritte dettagliatamente e documentate, indicandone la
motivazione da segnalare all’ AdG/ROO e all’AdC
Invio del rapporto di controllo definitivo, all’
AdG/ROO/OI
Dopo la conclusione degli audit, formulazione delle
Raccolta di tutte le relazioni di controllo in esito agli
criticità riscontrate invio ai soggetti interessati
audit delle operazioni
(AdG/ROO/OI, AdC,). Possibilità da parte di questi di
formulare osservazioni e controdeduzioni in forma scritta
Redazione di un rapporto di controllo che sintetizza
quanto esaminato nel corso dell’audit delle operazioni e i
risultati generali, i correttivi segnalati come necessari, le
procedure per controllare la loro applicazione, ecc.
Esame delle controdeduzioni e osservazioni dei
soggetti interessati all’audit dei sistemi e formulazione
Strategia di Audit
47
POR FESR 2007/2013 – POR FSE 2007/2013
del rapporto sull’Audit dei Sistemi. Tale relazione
conterrà
eventuali raccomandazioni e
riporterà
le
conclusioni con il parere di audit.
Esame comparato dell’esito dell’audit di sistema e di quello delle operazioni e formulazione della bozza di rapporto
annuale di controllo sulla base del modello di cui all’allegato VI del Reg. CE 1828/2006 (entro fine novembre)
Confronto con AdG, AdC, OI, sulla bozza di RAC
Predisposizione del RAC e del Parere annuale (entro 20 dicembre)
Trasmissione ufficiale ai competenti servizi della CE entro 31/12
Tabella 2. strumenti di reporting, relazioni, tempistica e follow-up
Attività
Strumenti e relazioni interne/esterne
•
Tempistica
Verbale di audit di sistema
A conclusione della verifica
Verbale in cui si riportano le informazioni
essenziali relative al controllo quali:
o data di esecuzione;
o documentazione verificata durante l’audit e/o
documentazione acquisita in loco;
o personale intervistato;
o eventuali limitazioni all’attività di controllo.
Il verbale deve essere firmato dall’auditor e dal
soggetto sottoposto ad audit, e costituisce una
prova dell’avvenuta esecuzione della verifica.
•
Esecuzione e
aggiornamento
dell'audit di
sistema
Check-list per il controllo dell’audit di sistema
A conclusione dell’istruttoria
Rappresenta
l’insieme
di
domande,
specificatamente previste per una determinata
tipologia di organismo controllato.
E’ compilata dall’auditor incaricato e siglata
dall’AdA.
Le risultanze della check list sono riportate nel
Rapporto di Audit Provvisorio e/o Definitivo a
cui si riferiscono, in modo da rendere completa
l’esposizione dei risultati del controllo effettuato.
Strategia di Audit
48
POR FESR 2007/2013 – POR FSE 2007/2013
•
Rapporto Provvisorio dell'audit di sistema
Il rapporto contiene:
o elementi riepilogativi dell’intervento e del
soggetto sottoposto a controllo
o obiettivi del controllo
o modalità di svolgimento del controllo
o contenuti del controllo
o conclusioni
o tempistica per la produzione delle
controdeduzioni (max 30 gg).
Il Rapporto Provvisorio di audit di sistema deve
essere firmato da tutti gli auditors, controfirmato
dall'Autorità di Audit ed inviato all’organismo
sottoposto a controllo, avviando l’eventuale fase
di contraddittorio. Rappresenta il documento
ufficiale nel quale oltre ad essere riportati tutti gli
elementi del controllo sono sintetizzate le
eventuali criticità riscontrate.
Esecuzione o
aggiornamento
Trasmissione entro 10 giorni dalla
redazione definitiva della check list di
controllo.
Eventuale riscontro da parte dei
soggetti interessati entro 30 gg. dalla
trasmissione.
dell'audit di
sistema
•
Rapporto/Relazione dell'audit di sistema
Il rapporto rappresenta il documento ufficiale nel
quale sono integrati i contenuti del Rapporto
Provvisorio a seguito delle controdeduzioni
pervenute.
Entro 30 gg dalla ricezione delle
controdeduzioni.
In esso sono evidenziate le osservazioni,
constatazioni ed eventuali interventi correttivi
proposti, attuati e da attuare, con le conclusioni
ed il relativo parere di audit.
Tale documento viene trasmesso, a mezzo SFC
2007, ai competenti servizi della Commissione,
per ciascun singolo PO, inoltrato all’AdG ed
all’AdC.
Tavola di follow up
L’Autorità di Audit, nel caso in cui abbia
proposto modifiche di sistema o rettifiche
finanziarie, apre la fase di follow up, durante la
quale l’AdA deve verificare che le azioni
correttive conseguenti alle raccomandazioni
proposte nel Rapporto Definitivo siano
implementate entro i termini prestabiliti.
Strategia di Audit
49
Aggiornata trimestralmente in base ai
tre diversi livelli di priorità evidenziati
(cfr. Manuale delle procedure AdA)
POR FESR 2007/2013 – POR FSE 2007/2013
Attività
Strumenti e relazioni interne/esterne
•
Tempistica e follow-up
Verbale di sopralluogo dell’operazione
Verbale di sintesi in cui si riportano le informazioni
essenziali relative al controllo quali:
o data e luogo di esecuzione dei controlli;
o soggetto sottoposto a controllo;
o operazione controllata;
o documentazione controllata e/o documentazione
acquisita in loco durante l’audit;
o eventuale documentazione da acquisire;
o cause che hanno eventualmente limitato
l'accesso alla documentazione;
o ecc.
Deve essere sottoscritto dall’auditor e dal soggetto
sottoposto a controllo e costituisce la prova
dell’avvenuta verifica.
A conclusione della verifica
• Check-list per il controllo dell’operazione:
Rappresenta l’insieme dei punti di verifica
specificatamente previste per una determinata
tipologia di intervento a cui l’operazione fa
riferimento e per i quali è necessario ottenere
documentazione probante a supporto.
Esecuzione
audit
operazioni
A conclusione dell’istruttoria
E’ compilata dall’auditor incaricato e siglata
dall’AdA.
Le risultanze della check list sono sintetizzate nel
Rapporto provvisorio di audit delle operazioni.
•
Rapporto provvisorio dell’audit delle operazioni
Il rapporto contiene:
• elementi riepilogativi dell’operazione e del
soggetto sottoposto a controllo;
• obiettivi del controllo;
• modalità di svolgimento del controllo;
• contenuti del controllo;
• esiti;
• tempistica per la produzione delle controdeduzioni
(max 30 gg).
Trasmissione entro 10 giorni dalla
redazione definitiva della check list
di controllo.
Eventuale riscontro da parte dei
soggetti interessati entro 30 gg. dalla
trasmissione.
Il documento sintetizza le verifiche espletate e le
eventuali criticità riscontrate nonché, la tempistica e
le modalità per la formulazione di eventuali
controdeduzioni.
Il rapporto provvisorio è firmato dagli auditors e dal
soggetto sottoposto a controllo ed inviato al ROO,
all’AdG e per conoscenza al Beneficiario.
Strategia di Audit
50
POR FESR 2007/2013 – POR FSE 2007/2013
Esecuzione
audit
operazioni
•
Rapporto definitivo dell'audit delle operazioni
Rappresenta il documento che integrata i contenuti
del Rapporto di controllo provvisorio, a seguito delle
eventuali controdeduzioni pervenute, fornendo le
conseguenti valutazioni al riguardo, evidenziandone
le conclusioni:
Esito positivo/regolare.
Esito negativo/irregolare.
Esito
parzialmente
negativo/parzialmente
regolare.
Eventuali raccomandazioni.
Il rapporto definitivo è firmato dagli auditors e dal
soggetto sottoposto a controllo, controfirmato
dall'AdA ed inviato all’AdG, al ROO e all’AdC.
Entro 30 gg dalla ricezione delle
controdeduzioni.
La struttura dedica particolare attenzione al “controllo di qualità” (cfr. Manuale delle procedure
AdA). In particolare, per ogni singola annualità, nella fase di programmazione delle attività, deve
essere predisposto un piano di qualità, che descrive l’iter di monitoraggio seguito dal Responsabile
della Qualità dei processi messi in atto dall’AdA.
Nel corso dell’annualità 2011 è stata avviata la fase sperimentale del controllo qualità per l’audit
delle operazioni (cfr.Manuale delle procedure AdA), nell’anno di entrata a regime, previsto per il
2012, il controllo qualità sarà esteso anche all’audit di sistema.
8.1.1 Stumenti di monitoraggio
Gli strumenti utilizzati per monitorare le attività dell’AdA consistono:
Nell’archiviazione cartacea dell’intera documentazione raccolta, organizzata in fascicoli di
progetto, catalogata per PO e contenente informazioni esaustive inerenti l’intero iter
amministrativo-contabile dell’intervento.
Nell’utilizzo del Sistema informativo interno che consente di riepilogare, per ciascuna
operazione sottoposta a controllo, le seguenti informazioni:
-
Il codice operazione
-
La data controllo
Strategia di Audit
51
POR FESR 2007/2013 – POR FSE 2007/2013
-
Il soggetto responsabile dell’operazione (AdG/ROO/OI, AdC, Beneficiario)
-
Il responsabile del controllo (auditor)
-
Il valore dell’operazione
-
L’importo controllato
-
L’importo non ammissibile
-
L’esito del controllo
-
Le criticità/carenze riscontrate
-
La data di trasmissione del rapporto di controllo provvisorio
-
La data di ricezione delle eventuali controdeduzioni
-
La data di invio rapporto del finale
-
Le azioni di follow-up
-
Le misure correttive da adottare/adottate
-
Note
La funzionalità del Sistema informativo interno è caratterizzata dalle seguenti macroaree:
Community & Collaboration - fornisce la possibilità di uniformare e migliorare le conoscenze di
dominio e metodologiche degli utenti nell’operatività quotidiana, seguendo i paradigmi di un
portale di comunicazione.
Gestione Audit - perno operativo della piattaforma che consente l’acquisizione delle informazioni
strutturate e documentali, necessarie alla produzione dei documenti legati al ciclo di vità di un
audit. All’interno di questa macro area sono presenti funzionalità gestionali per il controllo dello
stato di avanzamento dell’Audit.
Alimentazione DWH - parte dell’applicazione consente l’acquisizione delle informazioni
anagrafiche dei progetti dai sistemi di monitoraggio.
Web Services di Integrazione Sistemi di Monitoraggio Regionale, in fase di completamento,
consente di dialogare con i sistemi di monitoraggio regionali FESR e FSE, in modalità sicura e
certificata, adottando i paradigmi della tecnologia basata sui Web-Services.
Inoltre, l’AdA alimenta il sistema regionale SMILE, per la sezione di propria competenza,
inserendo i dati relativi agli esiti dei controlli dei progetti sottoposti ad audit.
Strategia di Audit
52
POR FESR 2007/2013 – POR FSE 2007/2013
8.1.2 Procedura per la redazione del RAC e del relativo parere
A chiusura delle attività di controllo annuali, l’AdA predispone :
o il RAC che fa riferimento alle attività svolte in un periodo di 12 mesi, ovvero dal 1° luglio al
30 giugno dell’anno cui il rapporto stesso si riferisce (art.62 Reg. (CE) 1083/06).
Le attività considerate per la predisposizione del RAC sono:
l’audit di sistema (cfr.par. 1.1.1 - par. 4.3 e 4.4)
l’audit delle operazioni (cfr.1.1.1 - par. 5.3)
o il parere annuale sull’efficace funzionamento del SIGECO che può essere espresso (cfr.
allegati VI e VII del Reg. (CE) n.1828/2006):
 senza riserva, nel caso in cui il sistema istituito sia affidabile, in quanto conforme
alle prescrizioni comunitarie;
 con riserva, qualora alcuni aspetti del sistema non rispondano alle suddette
prescrizioni;
 negativo, nel caso in cui il sistema non sia conforme alle prescrizioni e non possa
essere considerato affidabile.
Il RAC, unitamente al parere annuale, deve essere trasmesso ai competenti servizi della
Commissione, entro il 31/12 di ogni anno.
8.1.3 Procedure per la redazione delle dichiarazioni di chiusura
A conclusione dei singoli Programmi, l’AdA è tenuta a redigere:
1. il Rapporto di Controllo Finale per le attività di audit espletate dall’1/07/2015 al 31/12/2016,
deve essere trasmesso ai competenti Servizi della CE entro il 31/03/2017 (modello di cui
all’allegato VIII Reg. 1828/06, parte A);
2. la Dichiarazione di Chiusura parziale, nei casi previsti dall’art.88 del Reg. (CE) 1083/06.
3. la Dichiarazione di Chiusura Finale (allegato VIII Reg. 1828/06, parte B) che attesti la
validità della domanda di pagamento del saldo finale e la legittimità e regolarità delle
transazioni coperte dalla Dichiarazione Finale delle spese, da trasmettere ai competenti
Servizi della CE entro il 31/03/2017.
Strategia di Audit
53
POR FESR 2007/2013 – POR FSE 2007/2013
Si riporta di seguito il dettaglio delle attività di cui ai punti 1 e 2.
1. Il Rapporto di Controllo Finale documenta le attività di audit di sistema e audit delle
operazioni, conformemente alle metodologie e modalità operative descritte nelle varie
sezioni della Strategia. Pertanto, i suoi contenuti sono:
•
risultanze degli esiti dell’audit di sistema e delle operazioni, relativamente all’arco
temporale di riferimento;
•
evidenza del lavoro “supplementare” svolto dall’AdA, nonché dagli altri attori coinvolti
nella gestione e nel controllo di ciascun PO (es. audit delle procedure di chiusura dell’
AdG, AdC e degli OI, esame del lavoro supplementare svolto dall’AdG e AdC, modalità
di utilizzo dell’esito dei rapporti di altri organismi di controllo nazionali o comunitari,
ecc.) ;
•
sintesi finale dei fattori che, nel periodo di attuazione del PO, hanno limitato la portata
dell’esame effettuato dall’AdA (es. problemi rilevanti a livello di sistema, carenze
organizzative o procedurali del SIGECO, ecc.) con l’eventuale determinazione di impatto
finanziario;
•
certificazione di conformità alla normativa vigente, relativamente ai processi seguiti per
la segnalazione delle irregolarità;
Le informazioni relative alle attività di audit da effettuare in data successiva al 01/7/2015
sono incluse nel Rapporto Finale di Controllo a sostegno della Dichiarazione di Chiusura.
2.
la Dichiarazione di Chiusura parziale, nei casi previsti dall’art.88 del Reg. (CE) 1083/06:
La chiusura parziale dei PO può essere effettuata secondo una periodicità stabilita
dallo Stato membro e riguarda le operazioni completate entro il 31 dicembre dell'anno
precedente. Ai fini del regolamento, si considerano completate le operazioni le cui
attività sono state effettivamente realizzate e per le quali tutte le spese dei beneficiari
ed il contributo pubblico corrispondente sono stati corrisposti.
La chiusura parziale è effettuata a condizione che lo Stato membro trasmetta alla
Commissione, entro il 31 dicembre di un determinato anno:
a) una dichiarazione di spesa relativa alle operazioni di cui al paragrafo 1;
Strategia di Audit
54
POR FESR 2007/2013 – POR FSE 2007/2013
b) una dichiarazione di chiusura parziale conformemente all'articolo 62, paragrafo 1,
lettera d), punto iii).
Le eventuali rettifiche finanziarie effettuate ai sensi degli articoli 98 e 99 relativamente
ad operazioni soggette a chiusura parziale si considerano rettifiche finanziarie nette.
Strategia di Audit
55
POR FESR 2007/2013 – POR FSE 2007/2013